La responsabilité du Data Protection Officer (DPO) fait généralement l’objet de nombreuses interrogations. Le régime de responsabilité du DPO est pourtant relativement clair, tant à la lecture du Règlement Général sur la Protection des Données (RGPD), des différentes lois nationales françaises relatives à la protection des données personnelles, que des différentes communications de la CNIL (Commission Nationale de l’Informatique et des Libertés) et de l’EDPB (European Data Protection Board). Dans ce contexte, le DPO peut-il voir sa responsabilité pénale et personnelle engagée ? Réponse dans la suite de cet article.
La responsabilité du respect du RGPD n’incombe pas au Délégué à la protection des données (DPO)
Bien que le DPO soit un acteur essentiel de la conformité des entités privées et publiques au RGPD, et plus globalement aux règles de protection des données personnelles, il n’est pas de sa responsabilité de garantir qu’une entité soit bien conforme. Le DPO doit plutôt être perçu comme un “garde-fou“, un “lanceur d’alerte“, un “coordinateur“, dont les missions quotidiennes vont permettre de mettre en lumière des situations de non-conformité, de proposer des solutions de mise en conformité, et dans le meilleur de cas, de les mettre en œuvre.
Le Règlement Général sur la Protection des Données (RGPD) dispose à cet égard en son article 24 :
(…) le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. (…)
La responsabilité de la conformité d’un traitement de données incombe au responsable de traitement (et dans certaines situations au sous-traitants) et non au DPO.
Par conséquent, le DPO n’est pas responsable en cas de non-respect du RGPD. Cette position est d’ailleurs rappelée par la CNIL, ainsi que par le G29 (organe qui rassemblait les autorités de protection des données au niveau européen et qui fut depuis remplacée par le Comité européen de protection des données).
Le DPO ne peut pas voir cette responsabilité lui être transférée par délégation de pouvoir
Le mécanisme des délégations de pouvoir
Le mécanisme des délégations de pouvoir permet au dirigeant d’une société de transférer une partie de ses compétences au profit de tiers (les membres de la Direction de son entité en général). Cette délégation permet également, sous certaines conditions (notamment si la personne dispose des moyens effectifs d’exercer ces compétences), le transfère de la responsabilité pénale du dirigeant au délégué, pour le domaine consenti dans le cadre de la délégation.
Notons que la réalité et la portée d’une délégation de pouvoir mise en œuvre dans le cadre d’un organisme, relèvent d’une appréciation souveraine des juges du fond.
Eu égard aux fonctions occupées par le Data Protection Officer (DPO), il pourrait être tentant, pour un dirigeant d’entité (en sa qualité de responsable de traitement), de vouloir transférer au DPO la responsabilité et les obligations lui incombant en vertu du RGPD.
Une telle délégation n’est cependant pas admise pour plusieurs raisons.
Les missions et tâches du DPO ne doivent pas entraîner de conflit d’intérêts
Que le DPO soit internalisé ou externalisé (Les avantages de l’externalisation du DPO), les missions et tâches qu’il accompli ne doivent pas entraîner de conflit d’intérêts avec la bonne exécution de ses missions telles que définies au sein du RGPD (notamment à l’article 39).
Cette absence de conflit d’intérêts suppose notamment que le Data Protection Officer ne puisse pas exercer de fonctions au sein de l’entité concernée qui l’amènerait à déterminer les finalités et les moyens des traitements de données personnelles de ladite entité. En effet, en déterminant de telles finalités, le DPO serait à la fois décideur et contrôleur de ses propres décisions. Une position incompatible avec l’essence même du rôle de conformité du DPO. Cette position est d’ailleurs tenue par l’European Data Protection Board dans ses lignes directrices relatives aux DPOs (wp243rev.01).
En conséquence de ce qui précède :
- le DPO ne doit pas exercer des fonctions décisionnelles qui donnent lieu à un conflit d’intérêts et qui le mettrait en position de déterminer les finalités et les moyens de traitements de données. Tel peut être le cas d’un Directeur marketing, d’un membre du Comité Exécutif, du Directeur des Ressources Humaines, etc. Externaliser son DPO peut-être un moyen simple et efficace de respecter ses obligations règlementaires en évitant tout risque de conflit d’intérêts et en garantissant l’indépendance du DPO ;
- le DPO ne peut pas bénéficier à son profit de délégations de pouvoir qui le chargerait de la responsabilité de la conformité règlementaire de son entité, car cela reviendrait à conférer au DPO un pouvoir décisionnel sur la finalité et les moyens du traitement, ce qui créerait un conflit d’intérêts.
